CL0P Ransomwareとは
CL0Pは2019年にCryptoMixファミリーの一部として初めて確認されたランサムウェア亜種です。当初はファイル暗号化型マルウェアとして動作していましたが、現在ではデータ窃取と専用リークサイト『CL0P^_- LEAKS』による公開を組み合わせた大規模な恐喝作戦へと進化しています。CL0Pは主に金融、医療、製造、教育、テクノロジー分野の組織を標的とし、米国、日本、フランス、メキシコ、サウジアラビア、クウェート、中国、オーストラリア、スリランカ、パキスタンなどの国々に影響を与えています。
初期アクセスについては、ソフトウェア脆弱性の悪用によって実現されます。これには、Oracle E‑Business Suite(UiServlet、SyncServlet)に存在する認証不要のリモートコード実行を可能にするゼロデイ脆弱性CVE‑2025‑61882や、ソーシャルエンジニアリング手法が含まれます。アクセス後、攻撃者はEBSデータベースに悪意あるXSLテンプレートを展開し、GOLDVEIN.JAVAやSAGE*を含む多段階のJavaペイロードを実行可能にします。永続化についてはSAGE*感染チェーンに関連する悪意あるJavaサーブレットフィルタのインストールによって維持されます。
侵害後の活動は、EBSの“applmgr”アカウント下で実行される可能性が高く、システムおよびネットワークの調査やファイル列挙が含まれます。GOLDVEIN.JAVAは第二段階ペイロードの取得に利用できるよう、TLSv1.3ハンドシェイクに偽装したアウトバウンド接続を攻撃者制御サーバーに確立します。その後、大量の機密データを標的組織から流出させます。データ窃取後、脅威アクターは経営層を対象とした大量の恐喝メールを送信し、身代金要求に応じなければ盗まれたデータを公開すると脅迫します。
Oracle EBSを使用する組織は、即時のパッチ適用を優先し、厳格なサーブレットアクセス制御を実施し、テンプレートやサーブレットの異常な変更を監視し、アウトバウンド通信の制限を導入することで、この脅威を軽減する必要があります。
推奨される対策
- 環境内のIoC(侵害の兆候)を監視し、異常を特定する。
- OEMに従ってWindows環境を最新バージョンにパッチ適用し、多要素認証で保護する。
- 盲点や改善点を明らかにするため、包括的な全方位の脅威評価演習を実施する。
※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。
本稿は、KPMGインドが発行している「Threat Intelligence Advisories」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。